在日常生活办公中,都需要共享一些自己计算机上的文件、资源,以便大家使用。但也就意味着共享目录的安全性降低了,便利了一些非法用户对共享目录的访问甚至破坏。下面,墨染暖心利用Win7系统的本地组策略编辑器,保障深度Win7系统共享目录的安全性。
一、禁止共享空密码:关闭SAM账号和共享的匿名枚举功能。
1.按下键盘上的“Windows徽标键+R键”,打开运行程序,在运行窗口中输入“gpedit.msc”,按下键盘上的回车键(enter键)打开本地组策略编辑器。
2.在本地组策略编辑器窗口中,依次点开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,如图1所示:
图1 找到安全选项
3.选中“安全选项”,双击右侧的“网络访问:不允许SAM账号和共享的匿名枚举”项,在弹出的窗口中选中“已启用”选项,最后单击“确定”,经过这样的设置之后,非法用户就无法直接获得共享信息和账户列表了,如图2所示:
图2 启用网络访问:不允许SAM账号和共享的匿名枚举
二、禁止非授权访问
1.在打开的组策略编辑器中,依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”。
2.选中“用户权限分配”,双击右侧的“从网络访问此计算机”,然后将一些必须使用网络访问的账户添加进来,并将例如Everyone、Guest之类的账户删除。
3.再打开“拒绝从网络访问这台计算机”,同样的道理,只将需要访问共享目录的授权帐户添加进来,将其它用户全部删除。
PS:这两条策略同时作用时,前者取代后者。
三、禁止匿名SID/名称转换
1.在组策略中打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”。
2.选中“安全选项”,双击窗口右侧的“网络访问:允许匿名SID/名称转换”在弹出的窗口中选择“已停用”,点击“确定”即可。
PS:这样一来,可能会造成网络上低版本的用户在访问共享资源时出现 一些问题。因此网络有多个版本的系统时须谨慎使用该项配置。
